Demnach lässt sich die Sicherheitslücke nun wie folgt entschärfen:

To work around this issue until a fix is released by Apple, users should perform the following steps:
1. Download and install the RCDefaultApp preference pane, following the included instructions.
2. Open System Preferences and choose the Default Applications option.
3. Select the “URLs” tab in the window that appears.
4. Choose the “feed” URL type from the column on the left, and choose a different application or the “” option.
5. Repeat the previous step for the “feeds” and “feedsearch” URL types.

The original version of this page contained a simple workaround for this issue which I believed would protect users against this problem. I have since discovered (on 13 January 2009) that changing the default RSS feed reader application in Safari does not correctly disassociate Safari from all RSS feed URLs. The workaround section of this post has been updated with additional information. I regret that what initially appeared to be a simple workaround is now substantially more complicated and requires the installation of third-party software to perform.

http://brian.mastenbrook.net/display/27

Also gilt doch eigentlich, was immer gilt: Schön aufpassen und gut abwägen, wem man vertraut und wem nicht.

Leider bei Websites inklusive RSS-Feeds kaum möglich … und selbst theoretisch vertrauenswürdige Websites können gehackt, missbraucht, usw. werden – dafür gibt es ja x Beispiele.

Passwörter auslesen und so weiter ist ja eigentlich nur ein medienwirksamer Ausdruck für einen Zugriff auf die Platte. Wenn man jetzt also mit einem RSS-Feed auf fremde Platten zugreifen will, muss man ein Skript im RSS-Content verstecken.

Wie der jetzt visualisiert wird, ob beispielsweise die Ausführung von Javascript zulässig ist oder nicht, ist dann natürlich vom Client abhängig. Da kann ich mir aber auch nicht vorstellen, dass Safari da der einzige Kandidat ist, der sowas zulässt.

Also gilt doch eigentlich, was immer gilt: Schön aufpassen und gut abwägen, wem man vertraut und wem nicht.

Aber wenn ich einen Feed auf dem iPhone lösche, dann werde ich gefragt, ob ich ihn überall löschen will, oder nur auf dem iPhone.

Also es gibt auf newsgator.com anscheinend verschiedene Datenbanken, die man alle unterschiedlich einstellen kann.

Also man kann auswählen welcher Feed auf welchem Gerät zur Verfügung steht. Vielleicht ist das ja eine Möglichkeit für dich.

Mit NewsGator. Daheim verwende ich NetNewsWire, unterwegs auf dem iPhone ebenfalls NetNewsWire und in der Arbeit die Webseite newsgator.com.

Bei NetNewsWire schätze die Möglichkeit, dass sich Feeds deaktivieren lassen. So kann ich nach einiger Zeit wieder nachsehen, ob sich das Abonnement wieder lohnt … leider zeigt NewsGator solche Feeds jeweils an, obwohl ich sie gar nicht sehen möchte, sowohl online als auch auf dem iTouch. Kennst Du eine Lösung, damit «inaktive» Feeds nicht mehr angezeigt werden?

Verwende zum Glück schon längere Zeit NetNewsWire als meinen Standard-Reader.

1/2 OT: Mit oder ohne NewsGator?

Und wer sagt jetzt, dass dieses Problem nicht auch NetNewsWire, oder andere RSS-Reader betrifft? Immerhin setzen die doch alle irgendwie auf die gleiche Technik, wie Safari, oder?

Früher oder später werden wir mehr Erfahrungen … ich gebe aber davon aus, dass die Empfehlung korrekt ist – es handelt sich um ein Safari-Problem im Zusammenhang mit RSS, das man vorläufig beheben kann, indem man nicht Safari als standardmässigen RSS-Reader konfiguriert.